प्लेटफ़ॉर्म
python
घटक
chuanhuchatgpt
chuanhuchatgpt में एक पथ पारगमन (Path Traversal) भेद्यता की खोज की गई है, जो हमलावरों को अनधिकृत रूप से फ़ाइलों तक पहुँचने और उन्हें हटाने की अनुमति देती है। यह भेद्यता विशेष रूप से JSON फ़ाइल हैंडलिंग में कमजोरियों के कारण उत्पन्न होती है। प्रभावित संस्करणों में chuanhuchatgpt के सभी नवीनतम संस्करण शामिल हैं। इस समस्या को हल करने के लिए, तुरंत सुरक्षा अपडेट लागू करें।
यह भेद्यता हमलावरों को सर्वर पर किसी भी JSON फ़ाइल को हटाने की क्षमता प्रदान करती है, जिसमें महत्वपूर्ण कॉन्फ़िगरेशन फ़ाइलें जैसे config.json और dsconfigchatbot.json भी शामिल हैं। फ़ाइलों को हटाने से सिस्टम की कार्यक्षमता बाधित हो सकती है, सेटिंग्स में हेरफेर किया जा सकता है, और डेटा हानि या भ्रष्टाचार का कारण बन सकता है। एक हमलावर सिस्टम के नियंत्रण को प्राप्त करने और संवेदनशील जानकारी तक पहुँचने के लिए इस भेद्यता का फायदा उठा सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां कॉन्फ़िगरेशन फ़ाइलों की सुरक्षा महत्वपूर्ण है।
यह भेद्यता सार्वजनिक रूप से 31 जुलाई, 2024 को प्रकाशित हुई थी। अभी तक सक्रिय शोषण के कोई विश्वसनीय संकेत नहीं हैं, लेकिन सार्वजनिक रूप से उपलब्ध होने के कारण इसका शोषण होने की संभावना है। इस भेद्यता का मूल्यांकन उच्च जोखिम के रूप में किया गया है। CISA KEV सूची में शामिल होने की स्थिति अभी तक ज्ञात नहीं है।
Organizations and individuals deploying chuanhuchatgpt, particularly those with publicly accessible instances or weak access controls, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to impact other users on the same server.
• python / server:
find /path/to/chuanhuchatgpt -name '*.json' -type f -mmin -60 # Check for recently modified JSON files• generic web:
curl -I 'http://your-chuanhuchatgpt-server/../../../../etc/passwd' # Attempt directory traversaldisclosure
एक्सप्लॉइट स्थिति
EPSS
3.86% (88% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए तत्काल सुरक्षा अपडेट लागू करना सबसे प्रभावी उपाय है। यदि अपडेट तुरंत उपलब्ध नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करके और केवल अधिकृत उपयोगकर्ताओं को आवश्यक फ़ाइलों तक पहुँचने की अनुमति देकर जोखिम को कम किया जा सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। इसके अतिरिक्त, JSON फ़ाइल हैंडलिंग में इनपुट सत्यापन को मजबूत करना और फ़ाइल पथों को ठीक से सैनिटाइज करना महत्वपूर्ण है। अपडेट के बाद, यह सुनिश्चित करने के लिए सिस्टम का परीक्षण करें कि भेद्यता ठीक हो गई है और कोई नई समस्या नहीं आई है।
Actualice a una versión parcheada que valide correctamente las rutas de los archivos JSON. Si no hay una versión disponible, revise y corrija el código para asegurar que las rutas de los archivos estén validadas y que no permitan el recorrido de directorios. Implemente controles de acceso adecuados para restringir el acceso a los archivos de configuración críticos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-6255 chuanhuchatgpt में एक भेद्यता है जो हमलावरों को सर्वर पर किसी भी JSON फ़ाइल को हटाने की अनुमति देती है, जिससे सिस्टम में व्यवधान हो सकता है।
यदि आप chuanhuchatgpt के नवीनतम संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
भेद्यता को ठीक करने के लिए, तुरंत सुरक्षा अपडेट लागू करें। यदि अपडेट उपलब्ध नहीं है, तो फ़ाइल सिस्टम अनुमतियों को सख्त करें।
अभी तक सक्रिय शोषण के कोई विश्वसनीय संकेत नहीं हैं, लेकिन सार्वजनिक रूप से उपलब्ध होने के कारण इसका शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए, कृपया chuanhuchatgpt के डेवलपर की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।